泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。

严重程度：高危

影响版本：泛微e-cology OA系统JSP版 (Oracle数据库)

问题出在WorkflowCenterTreeData接口上，在使用Oracle数据库时,由于SQL语句拼接不严谨,导致泛微e-cology OA执行SQL语句，造成SQL注入。

攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，获取到数据库敏感信息。





处置建议

暂无官方补丁可用，临时处置建议如下：

1. 使用参数检查的方式，拦截带有SQL语法的参数传入应用程序；

2. 使用预编译的处理方式处理拼接了用户参数的SQL语句；

3. 参数即将进入数据库执行之前，对SQL语句的语义进行完整性检查，确认语义没有发生变化；

4. 在出现SQL注入漏洞时，要在出现问题的参数拼接进SQL语句前进行过滤或者校验，不要依赖程序最开始处防护代码；

5. 建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查，发现存在漏洞后，按照临时解决方案及时进行修复。